所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R005C10 配置指南-网络管理与监控

本文档介绍了网络管理与监控的配置,具体包括SNMP配置、RMON配置、NETCONF配置、OpenFlow Agent配置、LLDP配置、NQA配置、镜像配置、报文捕获配置、Packet trace、路径/连通性探测配置、NetStream配置、sFlow配置和iPCA配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)限制网管对设备的管理权限

(可选)限制网管对设备的管理权限

背景信息

当有多个属于同一SNMPv3用户组的网管管理同一设备时,请用户根据实际场景选择执行步骤。

场景

步骤

拥有访问设备Viewdefault视图的权限

无需操作

基于设备SNMP Agent过滤:128

基于用户组过滤:1358

基于用户过滤:1678

基于用户组和用户过滤:135678

基于设备SNMP Agent和用户组过滤:12358

基于设备SNMP Agent和用户过滤:12678

基于设备SNMP Agent、用户组和用户过滤:1235678

拥有访问设备上的指定节点

1458

基于设备SNMP Agent过滤:12458

基于用户组过滤:13458

基于用户过滤:145678

基于用户组和用户过滤:1345678

基于设备SNMP Agent和用户组过滤:123458

基于设备SNMP Agent和用户过滤:1245678

基于设备SNMP Agent、用户组和用户过滤:12345678

使用ACL控制网管的访问权限时,有如下约定:
  • 当ACL的rule配置为permit时,则允许匹配该规则中指定源IP地址的网管访问本设备。

  • 当ACL的rule配置为deny时,则拒绝匹配该规则中指定源IP地址的网管访问本设备。

  • 当ACL已配置rule时,如果报文未匹配上任何规则,则拒绝发送该报文的网管访问本设备。

  • 当ACL未配置rule时,则允许任何其他网管访问本设备。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 配置基于SNMP Agent过滤网管。
    1. 配置基本ACL。

      具体配置步骤请参考CloudEngine 8800, 7800, 6800, 5800系列 交换机 配置指南-安全配置》中的“ACL配置”。

    2. 执行命令snmp-agent acl { acl-number | acl-name },配置SNMP的访问控制。

      缺省情况下,SNMP没有配置访问控制。

  3. 为SNMP用户组配置基本ACL,用于过滤管理设备的网管。

    具体配置步骤请参考CloudEngine 8800, 7800, 6800, 5800系列 交换机 配置指南-安全配置》中的“ACL配置”。

  4. 执行命令snmp-agent mib-view { excluded | included } view-name oid-tree,创建MIB视图并限定网管监控和管理的MIB节点。

    缺省情况下,网管拥有视图Viewdefault的权限。

    对于excludedincluded使用有以下特点:

    • 需要网管管理设备上的绝大部分MIB节点,只有一少部分节点不允许网管管理时,或者在现有的MIB视图中希望取消网管对某些节点的访问权限时,使用参数excluded,排除这些MIB节点。

    • 需要网管管理设备上的一少部分MIB节点,绝大部分节点不允许网管管理时,或者在现有的MIB视图中添加网管对某些节点的访问权限时,使用参数included,添加这些允许管理的MIB节点。

    可以多次执行本命令,如果配置的view-nameoid-tree参数值相同,则新配置将覆盖旧配置;如果配置的view-nameoid-tree参数值不同,则新旧配置均生效。

    当执行include和exclude操作时,若所操作的对象存在包含关系,则以最末端的节点操作权限为准。例如,snmpV2、snmpModules、snmpUsmMIB三个节点是由上自下的包含关系,若先对snmpUsmMIB节点执行exclude操作,再对snmpV2节点执行include操作,则最终的结果仍然会排除snmpUsmMIB节点,因为操作对象存在包含关系,以最末端的节点操作权限为准。

  5. 执行命令snmp-agent group v3 group-name { authentication | privacy | noauthentication } [ read-view read-view | write-view write-view | notify-view notify-view ] * [ acl { acl-number | acl-name } ],配置用户组的读写权限。

    缺省情况下,创建SNMP组的只读视图为ViewDefault且未指定该组的读写视图名和通知视图名。

    如果要求网管收到notify-view中指定的trap消息或者inform消息,请先配置告警目的主机。

  6. 为SNMP用户配置基本ACL,用于过滤管理设备的网管。

    具体配置步骤请参考CloudEngine 8800, 7800, 6800, 5800系列 交换机 配置指南-安全配置》中的“ACL配置”。

  7. 执行命令snmp-agent usm-user v3 user-name [ group group-name | acl { acl-number | acl-name } ] *,配置SNMPv3用户。

    • 如果需要使相同SNMPv3用户名的所有网管都能访问Agent,则参数acl可以省略。

    • 如果需要允许指定的网管使用该用户名访问Agent,则需要配置acl参数。

  8. 执行命令commit,提交配置。

后续处理

限制网管对设备的访问权限后,尤其是限制网管的IP地址后,当网管的IP地址发生变更时(比如位置变更、网络调整IP地址重新分配等),请修改ACL中相关IP地址的配置,否则导致网管无法继续访问。

翻译
下载文档
更新时间:2020-01-09

文档编号:EDOC1100075464

浏览量:13496

下载量:225

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页